अगर HTTPS का उपयोग किया जाता है तो क्या मैं नेटवर्क मॉनिटरिंग सॉफ्टवेयर से सुरक्षित हूं?

मैं अपने बैंक खाते और कार्यस्थल पर अपने व्यक्तिगत ईमेल खातों में प्रवेश करूंगा। इसके काम पर प्रतिबंध नहीं लगाया गया है, लेकिन मैं सिर्फ यह नहीं चाहता कि मैं इन सेवाओं के साथ जो कुछ भी करता हूं, उसकी एक प्रति सहेज / लॉग इन करूं। खासकर मेरे पासवर्ड।

यदि सेवा HTTPS कनेक्शन का उपयोग करती है, तो क्या मेरी कंपनी मेरे पासवर्ड को ट्रैक / सेव / लॉग इन कर पाएगी, जिसका उपयोग मैं इन सेवाओं के लिए कर सकता हूँ? पृष्ठों की सामग्री के बारे में क्या?

फिर से, मेरी कंपनी के नियम मेरे व्यक्तिगत ईमेल खाते या इंटरनेट बैंकिंग सेवाओं के उपयोग पर प्रतिबंध नहीं लगाते हैं, लेकिन मैं नहीं चाहता कि वे इनके बारे में कोई महत्वपूर्ण जानकारी जानें। यह ठीक है कि अगर वे जानते थे कि मैं उन का उपयोग कर रहा हूं, लेकिन उन्हें मेरे पासवर्ड तक पहुंच नहीं मिलनी चाहिए।

यदि HTTPS का उपयोग किया जाता है, तो क्या मैं उन्हें सुरक्षित रूप से उपयोग कर सकता हूं (मेरी कंपनी यह जानकर उस डेटा को नहीं बचा सकती है)?

PS मैं वास्तव में एक नेटवर्क लड़का नहीं हूं और मुझे इस बारे में ज्यादा जानकारी नहीं है कि ये चीजें कैसे काम करती हैं। तो कृपया कोई RTFM उत्तर न दें।

उत्तर देने से पहले: यदि कोई ब्राउज़र आपको चेतावनी देता है कि कोई साइट खराब एन्क्रिप्शन का उपयोग कर रही है या गलत पहचान की जानकारी की आपूर्ति कर रही है, तो त्रुटि को पढ़ना, इसे समझना और यह समझना मुश्किल है कि क्या आप जारी रखना चाहते हैं।

संक्षिप्त उत्तर: हां, यदि आप किसी विश्वसनीय उपकरण का उपयोग कर रहे हैं

लंबा जवाब:

यदि कोई आपके कनेक्शन को किसी अन्य कंप्यूटर (कहीं न कहीं आपके और आपके बैंक के बीच) से देख रहा है और आप HTTPS का उपयोग कर रहे हैं, और वे हस्ताक्षरित प्रमाण पत्र का उपयोग कर रहे हैं एक उपयुक्त मजबूत एल्गोरिथ्म, तो आप स्पष्ट में हैं। (जब तक वे वर्षों तक डेटा को सहेजते हैं और बाद में एल्गोरिदम के टूटने के बाद इसे पढ़ते हैं - लेकिन वे संभवतः आपके घर में तोड़ना और आपके सामान को चोरी करना बेहतर होगा;))।

संभावना है, यदि यह आपका बैंक है, तो वे हस्ताक्षरित प्रमाण पत्र का उपयोग एक मजबूत रूप से मजबूत सिफर के साथ कर रहे हैं। आप पृष्ठ के लिए SSL जानकारी को देखकर इसे सत्यापित कर सकते हैं, जिसे प्रदर्शित किया जाना चाहिए यदि आप पृष्ठ की जानकारी देखते हैं, तो फ़ायरफ़ॉक्स 3.5 के साथ एड्रेस बार में बाईं ओर ब्लू या ग्रीन नाम पर क्लिक करें, या लॉक पर क्लिक करें। IE8 में पता बार में दाईं ओर। यदि आप रंगीन क्षेत्र पर क्लिक करने के बाद अधिक जानकारी का चयन करते हैं तो फ़ायरफ़ॉक्स उपयोग किए गए एन्क्रिप्शन एल्गोरिथ्म को भी प्रदर्शित करेगा ।

यदि आप उस डिवाइस पर भरोसा नहीं करते हैं जिसे आप कनेक्ट करने के लिए उपयोग कर रहे हैं (जैसे कि एक कंप्यूटर जो आपका अपना नहीं है जिसे दूसरों द्वारा संशोधित किया जा सकता है), तो यह अधिक चिंता का विषय है। अब, आपका कार्यस्थल संभवतः आपकी बैंकिंग जानकारी को देखने जैसे कुछ भी अवैध नहीं करने जा रहा है; लेकिन यदि आपके सिस्टम से छेड़छाड़ की जाती है तो SSL कम होना संभव है। यह हो सकता है कि आपके कंप्यूटर को एक प्रॉक्सी द्वारा हस्ताक्षरित प्रमाण पत्र (प्रमाणपत्र या प्रमाणपत्र पिनिंग का निरीक्षण इस बात को विफल करेगा) को स्वीकार करने के लिए कॉन्फ़िगर किया गया है। हालाँकि, निगरानी कहीं भी हो सकती है - उदाहरण के लिए, एक keylogger को आपके बैंकिंग क्रेडेंशियल्स पर कब्जा करने के लिए SSL को हराने की आवश्यकता नहीं होगी। एसएसएल इसे बनाता है ताकि आपको दो विश्वसनीय समापन बिंदुओं के बीच कनेक्शन पर भरोसा करने की आवश्यकता न हो, लेकिन यदि समापन बिंदु स्वयं अविश्वसनीय है, तो सभी दांव बंद हैं।

नहीं, निराला नहीं। आपकी कंपनी आपके कनेक्शन को एक प्रॉक्सी के माध्यम से भेज सकती है जो एक आदमी के बीच में काम करता है। वह है: सभी HTTPS ट्रैफ़िक आपकी मशीन से प्रॉक्सी पर जाता है, वहां डिक्रिप्ट किया जाता है, विश्लेषण किया जाता है, एन्क्रिप्ट किया जाता है और सर्वर पर भेजा जाता है। आपकी मशीन सर्वर से सुरक्षा प्रमाण पत्र का उपयोग नहीं करेगी, लेकिन इसके बजाय प्रॉक्सी दी गई वेबसाइट के लिए एक उत्पन्न करेगा और आपको भेज देगा, इसलिए आपके पास वास्तव में दो HTTPS कनेक्शन हैं: आप से प्रॉक्सी और प्रॉक्सी से सर्वर तक।

ऐसा होने के अलावा, कंपनी को प्रमाणपत्र बनाने के लिए एक सर्टिफिकेट सर्वर की आवश्यकता होती है। आम तौर पर ब्राउज़र यहां आपत्ति करेगा और शिकायत करेगा कि प्रमाण पत्र प्राधिकरण पर भरोसा नहीं है, लेकिन निश्चित रूप से समूह नीतियों और इस तरह के माध्यम से ओवरराइड किया जा सकता है।

यह आवश्यक रूप से नियोक्ता द्वारा गलत खेल नहीं है, क्योंकि यह एक एंटी-वायरस अवधारणा का हिस्सा हो सकता है या कानूनी कारणों के कारण हो सकता है।

अपने ब्राउज़र में, प्रमाणपत्र देखें। विशेष रूप से, प्रमाण पत्र प्राधिकरण को देखें। यदि प्रमाण पत्र एक "वास्तविक" CA द्वारा जारी किया जाता है जैसे कि Thawte, VeriSign आदि, तो इसका मतलब होगा कि आप सर्वर से एक का उपयोग कर रहे हैं और आपको सुरक्षित होना चाहिए। हालांकि, अगर यह "YourCompany-AV" या जैसे कुछ द्वारा जारी किया जाता है, तो आपके पास एक मध्य-मध्य प्रॉक्सी है।

सामान्यतया, आप सुरक्षित हैं। जब आप https कनेक्शन के माध्यम से बैंक की वेबसाइट पर जाते हैं, तो उपयोगकर्ता नाम और पासवर्ड जैसे सभी डेटा एन्क्रिप्ट किए जाते हैं, बहुत कम समय में इसे डिक्रिप्ट करना मुश्किल है, जब तक कि वे एन्क्रिप्शन एल्गोरिथ्म को अच्छी तरह से नहीं जानते हैं। । हालाँकि, कुंजी लकड़हारा जैसे अन्य हमले हैं, अगर वे जानकार हैं तो बीच का आदमी काम करेगा। संवेदनशील जानकारी दर्ज करने से पहले, पर्यावरण पर ध्यान दें।

यदि आप एक कंपनी के स्वामित्व वाली मशीन का उपयोग कर रहे हैं और कंपनियों की नीतियों के लिए सहमत हैं, तो ऐसे मुद्दे हो सकते हैं जो आपकी कंपनी के लिए विशिष्ट हों। बिना किसी और जानकारी के मैं कहूंगा कि आपको सुरक्षित होना चाहिए, लेकिन मुझे एक चेतावनी के साथ संतुलन बनाना होगा। तकनीकी रूप से यह संभव है, लेकिन अगर आप "सामान्य" जीवन जीते हैं तो हर दिन आपके सामने आने वाली बहुत सी चीजें हैं जो आपके व्यक्तिगत डेटा से उस परिदृश्य की तुलना में अधिक संभावित जोखिम पेश करती हैं, जिसके बारे में आप पूछ रहे हैं।

कुछ बुनियादी बातों के बारे में पता होना चाहिए। कंपनी को अभी भी पता चल सकता है कि आप किन साइटों पर जा रहे हैं और कितने समय के लिए हैं। डेटा एन्क्रिप्ट किया जा सकता है, लेकिन यह अभी भी रूट किया जाना है ताकि पता चल सके कि डेटा कहां से और उजागर हो रहा है।

आपके ब्राउज़र की किसी भी सुरक्षा सुविधाओं का लाभ लेने के बारे में अन्य उत्तरों में सलाह अच्छी है। मैं जोड़ता हूं कि आपको अपनी कंपनियों की नीतियों की समीक्षा करने के लिए एक क्षण लेना चाहिए जो कार्य मशीनों पर व्यक्तिगत डेटा से संबंधित हैं।

बैंक आमतौर पर 128 बिट एन्क्रिप्शन या उच्चतर का उपयोग करते हैं। उनके एसएसएल सर्टिफिकेट के गुणों की जांच करें, या यहां तक ​​कि यह क्या है, यह जानने के लिए उनके किसी तकनीकी समर्थन से पूछें। यदि यह 128 से कम है तो मैं इसका उपयोग नहीं करने का सुझाव दूंगा। लेकिन अगर यह 128 या उससे अधिक है, तो आपको ठीक होना चाहिए। जब तक Ettercap, Wireshark, Shijack और उनके कंधे पर एक बड़े पैमाने पर चिप के साथ नेटवर्क पर कोई आपके खिलाफ नहीं है। यदि आप इसके बारे में चिंतित हैं, तो बस काम में नेट बैंकिंग का उपयोग न करें। तो फिर, आपकी बैंकिंग जानकारी प्राप्त करने के लिए घर पर अपने कंप्यूटर को क्रैक करने से रोकने के लिए क्या है? तुम शायद काम पर सुरक्षित हो। मेरे प्रबंधक मेरे ब्राउज़र इतिहास को मुश्किल से देख सकते हैं - मैं उन्हें एक SSL प्रमाणपत्र द्वारा प्रदान की गई SHA1-RSA एन्क्रिप्शन को क्रैक करना चाहता हूं।

प्रभावी रूप से आप बस सुरक्षित हैं क्योंकि आम तौर पर नेटवर्क प्रवेश के लिए बेहतर चीजें हैं। तकनीकी रूप से, नहीं, आपका डेटा सुरक्षित नहीं है। आपने यह नहीं बताया कि आप किस क्षेत्र में हैं, लेकिन उदाहरण के लिए कॉल सेंटर के काम में ऐसी प्रणालियाँ होंगी जिनकी बेहद निगरानी की जाती है। डेटा एन्क्रिप्शन कोई फर्क नहीं पड़ता कि कीस्ट्रोक लॉग हो रहे हैं और स्क्रीन सामान्य ऑपरेशन के एक हिस्से के रूप में कैप्चर की गई है। यदि आप चिंतित हैं कि आपके बैंक खाते की जानकारी देखने के लिए प्रवेश की इच्छा हो सकती है, तो बैंकिंग के लिए अपने कार्य कंप्यूटर का उपयोग न करें।

कंपनियां अक्सर नेटवर्क विश्लेषण के लिए प्रॉक्सी और फायरवॉल का उपयोग करती हैं, लेकिन आप यह सुनिश्चित कर सकते हैं कि उनमें से किसी के द्वारा https ट्रैफ़िक को सूँघा नहीं जा सकता है। किसी व्यक्ति के मध्य हमले को रोकने के लिए, https का मूल सिद्धांत है।

पैकेट को सहेजना और बाद में आरएसए एन्क्रिप्शन को तोड़ना संभव है, हालांकि चूंकि इंटरनेट पैकेट स्विचिंग पर आधारित है, इसलिए यह संभावना नहीं है कि किसी भी हमलावर के पास टीसीपी पैकेट को पुनर्गठित करने के लिए पर्याप्त पदार्थ होगा।

सब कुछ और कुछ भी संभव है।